什麼是風險偵測？

發行項
07/08/2024

Microsoft Entra ID Protection 為組織提供其租用戶可疑活動的資訊，並允許他們快速回應，以防止發生進一步的風險。風險偵測是一種功能強大的資源，可包含與目錄中使用者帳戶相關的任何可疑或異常活動。 ID Protection 風險偵測可以連結到個別使用者或登入事件，並影響風險性使用者報告中找到的整體使用者風險分數。

使用者風險偵測在潛在威脅行為者藉由破解帳戶認證來取得帳戶的存取權時，或在其偵測到某種類型的異常使用者活動時，可能會將合法的使用者帳戶標示為有風險。登入風險偵測表示指定的驗證要求未獲帳戶擁有者授權的機率。能夠識別使用者和登入層級的風險，對於客戶獲得保護其租用戶的能力至關重要。

風險層級

ID Protection 會將風險分類成三個層級：低、中和高。風險層級由機器學習演算法計算而來，代表 Microsoft 對未經授權的實體知曉一或多個使用者認證的把握程度。

風險層級為 [高] 的風險偵測表示 Microsoft 高度確信帳戶遭到盜用。
風險層級為 [低] 的風險偵測表示登入或使用者認證中有異常，但我們不太確定這些異常意味著帳戶遭到盜用。

根據偵測到的異常數目或嚴重性而定，許多偵測可能會在多個風險層級引發。例如，不熟悉的登入屬性可能會根據訊號的信賴度在高、中或低層級引發。某些偵測 (例如認證外洩和已驗證的威脅行為者 IP) 一律會以高風險的形式傳遞。

決定要設定哪些偵測的優先順序並對其進行調查及補救時，此風險層級很重要。風險層級也會在設定風險型條件式存取原則方面扮演重要角色，因為每個原則都可以設定為在低、中、高風險或未偵測到任何風險時觸發。根據貴組織的風險承受度，您可以在 ID Protection 偵測到其中一個使用者的特定風險層級時，建立需要使用 MFA 或重設密碼的原則。這些原則可引導使用者自我補救以解決風險。

重要

所有「低」風險層級的偵測和使用者都會在產品中保留 6 個月，之後將自動過期，以提供更簡潔的調查體驗。中高風險層級會一直保留到進行補救或關閉為止。

根據貴組織的風險承受度，您可以在 ID Protection 偵測到特定風險層級時，建立需要使用 MFA 或重設密碼的原則。這些原則可能會引導使用者完成自我補救並解決風險，或根據您的承受度進行封鎖。

即時和離線偵測

ID Protection 利用一些技術，透過在驗證後即時或離線計算某些風險來提高使用者和登入風險偵測的精確度。在登入時即時偵測風險的優點是能提前識別風險，讓客戶可以快速調查潛在的危害。離線計算風險的偵測可以提供更多見解，以了解威脅行為者如何取得帳戶的存取權，以及對合法使用者的影響。某些偵測可以同時在離線和登入期間觸發，進而提高精確了解危害的把握。

即時觸發的偵測需要 5-10 分鐘的時間，才能在報告中顯示詳細資料。離線偵測最多需要 48 小時才會顯示在報告中，因為評估潛在風險的屬性需要時間。

注意

系統可能偵測到風險事件，即導致風險使用者風險分數的事件：

誤判為真
原則以下列其中一種方式補救使用者風險：
- 完成多重要素驗證
- 安全密碼變更

系統會關閉風險狀態，並顯示 AI 已確認登入安全的風險詳細資料，所以不再影響使用者的整體風險。

在風險詳細數據上， 時間偵測 會記錄在使用者登入期間識別風險的確切時刻，以允許即時風險評估和立即原則應用程式來保護使用者和組織。 上次更新 的偵測會顯示風險偵測的最新更新，這可能是因為新的資訊、風險層級變更或系統管理動作，並確保最新的風險管理。

這些欄位對於即時監視、威脅回應及維護組織資源的安全存取至關重要。

對應至 riskEventType 的風險偵測

風險偵測	偵測類型	類型	riskEventType
登入風險偵測
來自匿名 IP 位址的活動	離線	高級	riskyIPAddress
已偵測到的額外風險 (登入)	即時或離線	非進階	generic = 非 P2 租用戶的進階偵測分類
系統管理員已確認使用者遭盜用	離線	非進階	adminConfirmedUserCompromised
異常權杖	即時或離線	高級	anomalousToken
匿名 IP 位址	即時	非進階	anonymizedIPAddress
非慣用移動	離線	高級	unlikelyTravel
不可能的移動	離線	高級	mcasImpossibleTravel
惡意 IP 位址	離線	高級	maliciousIPAddress
大量存取敏感性檔案	離線	高級	mcasFinSuspiciousFileAccess
Microsoft Entra 威脅情報 (登入)	即時或離線	非進階	investigationsThreatIntelligence
新國家/地區	離線	高級	newCountry
密碼噴灑	離線	高級	passwordSpray
可疑的瀏覽器	離線	高級	suspiciousBrowser
可疑的收件匣轉寄	離線	高級	suspiciousInboxForwarding
可疑的收件匣操作規則	離線	高級	mcasSuspiciousInboxManipulationRules
權杖簽發者異常	離線	高級	tokenIssuerAnomaly
不熟悉的登入屬性	即時	高級	unfamiliarFeatures
已驗證的威脅行為者 IP	即時	高級	nationStateIP
使用者風險偵測
已偵測到的額外風險 (使用者)	即時或離線	非進階	generic = 非 P2 租用戶的進階偵測分類
異常使用者活動	離線	高級	anomalousUserActivity
中間攻擊者	離線	高級	attackerinTheMiddle
認證外洩	離線	非進階	leakedCredentials
Microsoft Entra 威脅情報 (使用者)	即時或離線	非進階	investigationsThreatIntelligence
可能嘗試存取主要重新整理權杖 (PRT)	離線	高級	attemptedPrtAccess
可疑的 API 流量	離線	高級	suspiciousAPITraffic
可疑的傳送模式	離線	高級	suspiciousSendingPatterns
使用者回報可疑活動	離線	高級	userReportedSuspiciousActivity

進階偵測

只有 Microsoft Entra ID P2 客戶才能看到下列進階偵測。

來自匿名 IP 位址的活動

離線計算。此偵測會使用 Microsoft Defender for Cloud Apps 所提供的資訊來探索。此偵測可識別活動是來自視為匿名 Proxy IP 位址的使用者。

異常權杖

即時或離線計算。此偵測會指出權杖中異常的特性，例如異常的存留期，或從不熟悉的位置執行的權杖。此偵測涵蓋工作階段權杖和重新整理權杖。

異常權杖調整產生的雜訊會比相同風險層級的其他偵測更多。此取捨之下的目的是為了更容易偵測到重新執行的權杖，否則這些權杖可能會遭忽略。此偵測所標記的部分工作階段會有更高的誤判機率。建議您在使用者的其他登入內容中調查此偵測所標示的工作階段。如果是使用者未預期的位置、應用程式、IP 位址、使用者代理程式或其他特性，建議系統管理員將此風險視為權杖可能重新執行的指標。

非慣用登入位置

離線計算。此風險偵測類型會識別從距離遙遠的位置進行的兩次登入，而根據使用者過去的行為，其中至少有一個位置可能不尋常。演算法會考量多重因素，包括兩次登入間隔多久，以及使用者從第一個位置移至第二個位置所需的時間。此風險可能表示有不同的使用者使用相同的認證。

演算法會忽略明顯的「誤判」，以致發生不可能的移動情況，例如，組織中的其他使用者定期使用的 VPN 和位置。系統有前 14 天或 10 次登入的初始學習期間，它會在這段期間了解新使用者的登入行為。

不可能的移動

離線計算。此偵測會使用 Microsoft Defender for Cloud Apps 所提供的資訊來探索。此偵測會以比從第一個位置移至第二個位置更短的時間，識別地理位置遙遠的使用者活動 (為單一或多個工作階段)。此風險可能表示有不同的使用者使用相同的認證。

惡意 IP 位址

離線計算。此偵測會指出來自惡意 IP 位址的登入。從 IP 位址或其他 IP 信譽來源收到無效認證而導致高失敗率的情況，會使 IP 位址被視為惡意。

大量存取敏感性檔案

離線計算。此偵測會使用 Microsoft Defender for Cloud Apps 所提供的資訊來探索。此偵測會分析您的環境，並在使用者從 Microsoft SharePoint Online 或 Microsoft OneDrive 存取多個檔案時，觸發警示。只有在存取的檔案數目不是使用者所常見，且檔案可能包含敏感性資訊的情況下，才會觸發警示。

新國家/地區

離線計算。此偵測會使用 Microsoft Defender for Cloud Apps 所提供的資訊來探索。這項偵測會考量過去的活動位置來判斷新的和非經常性的位置。異常偵測引擎會儲存組織中使用者先前使用的位置資訊。

密碼噴灑

離線計算。密碼噴灑攻擊指的是以統一暴力密碼破解攻擊的方式對多個使用者名稱進行攻擊，以取得未經授權的存取。此風險偵測會在發生密碼噴灑攻擊的情況下觸發。例如，在偵測到的執行個體中，攻擊者成功通過驗證。

可疑的瀏覽器

離線計算。可疑的瀏覽器偵測會根據相同瀏覽器中多個租用戶 (來自不同國家/地區) 的可疑登入活動指出異常行為。

可疑的收件匣轉寄

離線計算。此偵測會使用 Microsoft Defender for Cloud Apps 所提供的資訊來探索。此偵測可尋找可疑電子郵件轉寄規則，例如使用者建立會將所有電子郵件複本轉寄到外部地址的收件匣規則。

可疑的收件匣操作規則

離線計算。此偵測會使用 Microsoft Defender for Cloud Apps 所提供的資訊來探索。此偵測會分析您的環境，並在使用者收件匣設定可疑規則 (即刪除或移動訊息或資料夾) 時，觸發警示。此偵測可能表示使用者帳戶遭到盜用、訊息被刻意隱藏，以及信箱被用來在組織中散發垃圾郵件或惡意程式碼。

權杖簽發者異常

離線計算。此風險偵測表示相關聯 SAML 權杖的 SAML 權杖簽發者可能已遭入侵。權杖中包含的宣告不尋常或符合已知的攻擊者模式。

即時計算。此風險偵測類型會考慮過去的登入歷程記錄，以尋找異常登入。系統會儲存先前登入的相關資訊，並在透過使用者不熟悉的屬性進行登入時觸發風險偵測。這些屬性可以包含 IP、ASN、位置、裝置、瀏覽器和租用戶 IP 子網路。新建立的使用者處於「學習模式」期間，其中在演算法學習使用者的行為時，不熟悉的登入屬性風險偵測就會關閉。學習模式持續時間是動態的，取決於演算法需要多久時間來收集足夠的使用者登入模式資訊。最短持續時間為五天。使用者會在長時間無活動後回到學習模式。

我們也會針對基本驗證 (或舊版通訊協定) 執行這項偵測。由於這些通訊協定沒有用戶端識別碼之類的新式屬性，因此只能以有限的資料減少誤判。我們建議客戶移轉至新式驗證。

您可以在互動式和非互動式登入上偵測到不熟悉的登入屬性。在非互動式登入上偵測到這項偵測時，由於存在權杖重新執行攻擊的風險，因此應該加強審查。

選取不熟悉的登入屬性風險可讓您查看其他資訊，其中顯示此風險觸發原因的詳細資料。

已驗證的威脅行為者 IP

即時計算。此風險偵測類型會根據 Microsoft 威脅情報中心 (MSTIC) 中的資料，指出與國家行為體或網路犯罪集團相關聯的已知 IP 位址一致的登入活動。

進階使用者風險偵測

異常使用者活動

離線計算。此風險偵測會設定 Microsoft Entra ID 中一般系統管理使用者行為的基準，並發現異常行為模式，例如目錄的可疑變更。系統會針對系統管理員進行變更或變更的物件，觸發偵測。

中間攻擊者

離線計算。也稱為中間敵人，若驗證工作階段連結到惡意反向 Proxy，就會觸發這個高精確度偵測。在這類攻擊中，敵人可以攔截使用者的認證，包括發給使用者的權杖。 Microsoft 安全性研究小組會利用 Microsoft 365 Defender 來擷取已識別的風險，並將使用者提高到 [高] 風險。建議系統管理員在觸發此偵測時手動調查使用者，以確保清除風險。清除此風險可能需要重設安全密碼或撤銷現有的工作階段。

可能嘗試存取主要重新整理權杖 (PRT)

離線計算。此風險偵測類型會使用適用於端點的 Microsoft Defender (MDE) 所提供的資訊來探索。主要重新整理權杖 (PRT) 是在 Windows 10、Windows Server 2016 和更新版本、iOS 和 Android 裝置上進行 Microsoft Entra 驗證的主要成品。 PRT 是向 Microsoft 第一方權杖代理程式發出的 JSON Web 權杖 (JWT)，用來在這些裝置上使用的應用程式之間啟用單一登入 (SSO)。攻擊者可以嘗試存取此資源，以橫向移至組織或執行認證竊取。此偵測會將使用者移至高風險，且只會在部署 MDE 的組織中引發。此偵測的風險很高，建議您即時補救這些使用者。由於其數量較少，因此在大部分組織中似乎不常出現。

可疑的 API 流量

離線計算。若觀察到異常的 GraphAPI 流量或目錄列舉，就會報告此風險偵測。可疑的 API 流量可能表示使用者遭到入侵，並在環境中進行偵察。

可疑的傳送模式

離線計算。此風險偵測類型會使用適用於 Office 365 的 Microsoft Defender (MDO) 所提供的資訊來探索。貴組織有人傳送可疑的電子郵件，並且可能有限制傳送電子郵件的風險，或者已限制傳送電子郵件時，就會產生此警示。此偵測會將使用者移至中風險，且只會在部署 MDO 的組織中引發。此偵測很少進行，因此大部分的組織中不常看到此偵測。

使用者回報可疑活動

離線計算。若使用者拒絕多重要素驗證 (MFA) 提示並將其回報為可疑活動，就會報告此風險偵測。使用者未起始的 MFA 提示可能表示其認證遭洩漏。

非進階偵測

沒有 Microsoft Entra ID P2 授權的客戶會收到標題為已偵測到的額外風險的偵測，但沒有 P2 授權客戶所進行偵測的詳細資訊。如需詳細資訊，請參閱授權需求。

即時或離線計算。此偵測表示偵測到其中一個進階偵測。因為進階偵測只對 Microsoft Entra ID P2 客戶顯示，所以對於沒有 Microsoft Entra ID P2 授權的客戶來說，其標題為已偵測到的額外風險。

系統管理員已確認使用者遭盜用

離線計算。此偵錯會指出系統管理員已在風險性使用者 UI 中或使用 riskyUsers API 選取 [確認使用者遭盜用]。若要查看哪一個系統管理員已確認此使用者遭盜用，請檢查使用者的風險歷程記錄 (透過 UI 或 API)。

匿名 IP 位址

即時計算。此風險偵測類型指出登入來自匿名 IP 位址 (例如 Tor 瀏覽器或匿名 VPN)。執行者使用這些 IP 位址時，通常想隱藏登入資訊 (IP 位址、位置、裝置等) 圖謀不軌。

即時或離線計算。此風險偵測類型會指出對使用者而言不尋常，或與已知攻擊模式一致的使用者活動。此偵測基於 Microsoft 的內部和外部威脅情報來源。

非進階使用者風險偵測

已偵測到的額外風險 (使用者)

認證外洩

離線計算。此風險偵測類型指出使用者的有效認證已外洩。在網路罪犯入侵合法使用者的有效密碼時，他們通常會共用這些收集的認證。此共用通常是將認證公開張貼在暗網或分享網站上，或是在黑市上交易和銷售認證。當 Microsoft 外洩認證服務從暗網、分享網站或其他來源取得使用者認證時，會將其與 Microsoft Entra 使用者目前的有效認證互相檢查，以尋找有效的相符項目。如需認證外洩的詳細資訊，請參閱常見問題。

Microsoft Entra 威脅情報 (使用者)

離線計算。此風險偵測類型會指出對使用者而言不尋常，或與已知攻擊模式一致的使用者活動。此偵測基於 Microsoft 的內部和外部威脅情報來源。

常見問題

只有在使用正確的認證時，ID Protection 才會產生風險偵測。如果登入時使用了不正確的認證，不代表有認證洩漏的風險。

是否需要密碼雜湊同步？

認證外洩之類的風險偵測需要存在密碼雜湊，才能進行偵測。如需密碼雜湊同步的詳細資訊，請參閱此文章：使用 Microsoft Entra Connect 同步來實作密碼雜湊同步。

為什麼會對已停用的帳戶產生風險偵測？

處於停用狀態的使用者帳戶可以重新啟用。如果已停用帳戶的認證遭到入侵，而且該帳戶會重新啟用，則惡意執行者可能會使用這些認證來取得存取權。 ID Protection 會對這些已停用帳戶的可疑活動產生風險偵測，並警示客戶出現潛在的帳戶入侵。如果帳戶不再使用且不會重新啟用，客戶應該考慮將其刪除以避免遭到入侵。已刪除的帳戶不會產生風險偵測。

常見的認證外洩問題

Microsoft 會在哪裡發現外洩的認證？

Microsoft 可在不同位置發現外洩的認證，包括：

公開的張貼網站，惡意執行者通常會在此張貼這類資料。
執法機關。
Microsoft 的其他小組進行暗網研究。

為什麼我看不到任何外洩的認證？

當 Microsoft 發現新的公開可用批次時，就會處理認證外洩問題。由於本質敏感，外洩的認證在處理後不久就會刪除。只會為您的租用戶處理啟用密碼雜湊同步 (PHS) 之後所找到的新外洩認證。系統不會對先前找到的認證配對進行驗證。

我看不到任何認證外洩風險事件

如果您沒有看到任何認證外洩風險事件，原因如下：

您的租用戶未啟用 PHS。
Microsoft 找不到任何與您使用者相符的外洩認證配對。

Microsoft 處理新認證的頻率為何？

認證會在找到之後立即處理，通常是每天多個批次。

位置

風險偵測中的位置是使用 IP 位址查閱來決定。從受信任的具名位置登入可提高 Microsoft Entra ID Protection 風險計算的正確性，在使用者從標示為受信任的位置進行驗證時，可以降低使用者的登入風險。

共用方式為